ชุดการเข้ารหัสเซิร์ฟเวอร์และข้อกำหนด TLS
ชุดรหัส เป็นชุดของอัลกอริทึมการเข้ารหัสลับ ใช้เพื่อเข้ารหัสข้อความระหว่างไคลเอ็นต์/เซิร์ฟเวอร์ และเซิร์ฟเวอร์อื่น ๆ Dataverse กำลังใช้ ชุดการเข้ารหัส TLS 1.3 และ 1.2 ที่ได้รับอนุมัติจาก Microsoft Crypto Board รุ่นล่าสุด
ก่อนที่จะสร้างการเชื่อมต่อที่ปลอดภัยโปรโตคอล และการเข้ารหัสจะถูกเจรจาระหว่างเซิร์ฟเวอร์และไคลเอ็นต์ ตามความพร้อมใช้งานของทั้งสองฝ่าย
คุณสามารถใช้เซิร์ฟเวอร์ภายใน/ในสถานที่เพื่อรวมเข้ากับบริการ Dataverse ต่อไปนี้:
- การซิงค์อีเมลจากเซิร์ฟเวอร์ Exchange ของคุณ
- กำลังเรียกใช้ปลั๊กอินขาออก
- เรียกใช้ไคลเอ็นต์พื้นเมือง / ท้องถิ่นเพื่อเข้าถึงสภาพแวดล้อมของคุณ
เพื่อให้สอดคล้องกับนโยบายความปลอดภัยของเราสำหรับการเชื่อมต่อที่ปลอดภัย เซิร์ฟเวอร์ของคุณจะต้องมีสิ่งต่อไปนี้:
การปฎิบัติตาม Transport Layer Security (TLS) 1.3/1.2
อย่างน้อยหนึ่งในชุดรหัสต่อไปนี้:
การเข้ารหัส TLS 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
การเข้ารหัส TLS 1.2:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
สำคัญ
TLS 1.0 & 1.1 และชุดการเข้ารหัสรุ่นเก่า (เช่น TLS_RSA) เลิกใช้งานแล้ว ดู ประกาศ เซิร์ฟเวอร์ของคุณต้องมีโปรโตคอลความปลอดภัยข้างต้นจึงจะรันบริการ Dataverse
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 และ TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 อาจแสดงเป็นจุดอ่อนเมื่อคุณทำการทดสอบรายงาน SSL เนื่องจากการโจมตีที่เป็นที่รู้จักต่อการใช้งาน OpenSSL Dataverse ใช้การติดตั้ง Windows ที่ไม่ได้ใช้ OpenSSL ดังนั้นจึงไม่มีช่องโหว่
คุณสามารถอัพเกรด รุ่น Windows หรืออัปเดต รีจิสทรีของ Windows TLS เพื่อให้แน่ใจว่าจุดสิ้นสุดเซิร์ฟเวอร์ของคุณสนับสนุนหนึ่งในการเข้ารหัสเหล่านี้
เพื่อตรวจสอบว่าเซิร์ฟเวอร์ของคุณเป็นไปตามโปรโตคอลความปลอดภัย คุณสามารถทำการทดสอบโดยใช้เครื่องมือเข้ารหัส TLS และเครื่องสแกน
ติดตั้งใบรับรอง CA ระดับสูงต่อไปนี้ ติดตั้งเฉพาะที่สอดคล้องกับสภาพแวดล้อมระบบคลาวด์ของคุณ
สำหรับเผยแพร่/ทำงานจริง
ผู้ให้บริการออกใบรับรอง วันที่หมดอายุ หมายเลขลำดับประจำสินค้า/รหัสประจำตัว ดาวน์โหลด G2 ระดับสูงสากลของ DigiCert 15 ม.ค. 2038 0x033af1e6a711a9a0bb2864b11d09fae5
DF3C24F9BFD666761B268073FE06D1CC8D4F82A4PEM G3 ระดับสูงสากลของ DigiCert 15 ม.ค. 2038 0x055556bcf25ea43535c3a40fd5ab4572
7E04DE896A3E666D00E687D33FFAD93BE83D349EPEM ผู้มีสิทธิ์ออกใบรับรองของ Microsoft ECC 2017 18 ก.ค. 2042 0x66f23daf87de8bb14aea0c573101c2ec
999A64C37FF47D9FAB95F14769891460EEC4C3C5PEM ผู้มีสิทธิ์ออกใบรับรองของ Microsoft RSA 2017 18 ก.ค. 2042 0x1ed397095fd8b4b347701eaabe7f45b3
3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74PEM สำหรับ Fairfax/Arlington/คลาวด์ของประเทศสหรัฐอเมริกา
ผู้ให้บริการออกใบรับรอง วันที่หมดอายุ หมายเลขลำดับประจำสินค้า/รหัสประจำตัว ดาวน์โหลด CA ระดับสูงสากลของ DigiCert 10 พ.ย. 2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert SHA2 เซิร์ฟเวอร์ที่ปลอดภัย CA 22 ก.ย. 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
626D44E704D1CEABE3BF0D53397464AC8080142CPEM DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 ก.ย. 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
51E39A8BDB08878C52D6186588A0FA266A69CF28PEM สำหรับ Mooncake/Gallatin/คลาวด์ของรัฐบาลประเทศจีน
ผู้ให้บริการออกใบรับรอง วันที่หมดอายุ หมายเลขลำดับประจำสินค้า/รหัสประจำตัว ดาวน์โหลด CA ระดับสูงสากลของ DigiCert 10 พ.ย. 2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert พื้นฐาน RSA CN CA G2 4 มี.ค. 2030 0x02f7e1f982bad009aff47dc95741b2f6
4D1FA5D1FB1AC3917C08E43F65015E6AEA571179PEM เหตุใดจึงต้องการสิ่งนี้
ดู โปรโตคอล Transport Layer Security (TLS) เวอร์ชัน 1.3 และ เอกสารมาตรฐาน TLS 1.2 - ส่วน 7.4.2 - รายการใบรับรอง
เหตุใดใบรับรอง SSL/TLS ของ Dataverse จึงใช้โดเมนอักขระตัวแทน
ใบรับรอง SSL/TLS อักขระตัวแทนเกิดจากการออกแบบ เนื่องจาก URL ขององค์กรหลายร้อยรายการต้องสามารถเข้าถึงได้จากแต่ละเซิร์ฟเวอร์โฮสต์ ใบรับรอง SSL/TLS ที่มี Subject Alternate Names (SAN) หลายร้อยรายการมีผลเสียต่อเว็บไคลเอ็นต์และเบราว์เซอร์บางตัว นี่คือข้อจำกัดด้านโครงสร้างพื้นฐานตามลักษณะของข้อเสนอซอฟต์แวร์ในรูปแบบบริการ (SAAS) ซึ่งโฮสต์องค์กรลูกค้าหลายแห่งบนชุดโครงสร้างพื้นฐานที่ใช้ร่วมกัน
ดูเพิ่มเติม
เชื่อมต่อกับ Exchange Server (on-premises)
การทำข้อมูลให้ตรงกันทางฝั่ง Dynamics 365 Server
แลกเเปลี่ยนคำแนะนำเซิร์ฟเวอร์TLS
ชุดการเข้ารหัสใน TLS / SSL (Schannel SSP)
จัดการ Transport Layer Security (TLS)
IETF Datatracker สำหรับมาตรฐาน TLS